Cómo robar dinero a través de Apple Pay usando Express Transit – función de seguridad desnuda
Un artículo inédito de investigadores del Reino Unido fue noticia por sus dramáticas afirmaciones sobre Apple Pay.
La versión 9to5Mac centrada en Apple lo cubrió con un titular que era casi una historia en sí misma:
Si aún no has oído hablar de eso Tránsito expreso (conocido como Viajes exprés en el Reino Unido, donde la palabra “tránsito” no se usa para referirse al transporte público), esta es una de esas ideas inteligentes que inevitablemente intercambian la ciberseguridad por conveniencia.
En pocas palabras, puede usarlo para completar algunos tipos de transacciones de toque para pagar, incluso si tu teléfono está bloqueado.
Puedes saber a dónde va esto.
(Express Transit no está activado de forma predeterminada, por lo que, a menos que lo configure intencionalmente en su dispositivo, los riesgos de esta historia no se aplican a usted).
Índice de contenido
Sombreros de papel de aluminio
Con Express Transit, Apple Pay y su iPhone funcionan un poco como una tarjeta de crédito normal que no necesita ser desbloqueada con un código PIN para transacciones de bajo valor (el límite del Reino Unido es actualmente de £ 45 o alrededor de $ 60).
Un simple toque de su tarjeta de crédito en o cerca de una terminal de pago, ya sea en el supermercado, en la tienda de periódicos o en la cafetería, activa un intercambio criptográfico rápido y completamente automatizado a través del chip de su tarjeta, que carga su cuenta en la terminal. cantidad mostrada en pantalla.
La tecnología utilizada se conoce como NFC, abreviatura de Cerca de un campo de comunicaciónbasado en un campo magnético emitido por el lector que genera una pequeña corriente a través de una bobina de metal enrollada dentro de la tarjeta de crédito.
Esta pequeña oleada de electricidad genera la energía suficiente para activar el chip el tiempo suficiente para autorizar una sola transacción y transmitir de forma inalámbrica los datos de verificación al terminal.
En teoría, cualquier persona con su propia terminal de pago y un proveedor de pago listo para manejar sus transacciones turbias podría acercar la terminal lo suficiente a su tarjeta de crédito o débito, por ejemplo, mientras espera en una cola o está atrapado en un tren o autobús y usa su tarjeta para falsificar un pago que no conocía.
Del mismo modo, cualquier persona que robe su tarjeta, incluso temporalmente, podría usarla para liberar el pago de sus bienes contra su tarjeta, ya que no necesita saber su PIN, solo tiene que sostener su tarjeta en su mano el tiempo suficiente para moverla. en una Terminal legítima.
En la práctica, sin embargo, el uso de terminales de pago falsificados para extraer transacciones fraudulentas colocando el terminal en la tarjeta (y no al revés) parece ser extremadamente inusual.
Con todas las historias de terror que puede haber escuchado sobre los «impuestos de pago» que roban en los trenes suburbanos el dinero de los viajeros desprevenidos, nunca hemos visto informes creíbles de estafas sistemáticas y exitosas de esta manera.
Sospechamos que lo que está en juego es demasiado para los posibles delincuentes, dado el comportamiento obviamente intrusivo y antisocial que se requiere para realizar ocasionalmente una transacción falsa y de bajo valor al frotarse contra extraños en un tren abarrotado.
En 2018 probamos diferentes tipos de billeteras para tarjetas de crédito, desde simples fundas de cartón revestidas de metal hasta voluminosos estuches de metal para tarjetas, y aunque no estábamos convencidos de que realmente tuvieras que usar una, descubrimos que todo funcionaba como se anunciaba. Incluso nuestro escudo de fabricación propia, doblado apresuradamente con papel de aluminio (que por supuesto es de aluminio) impidió que nuestras tarjetas se activaran, sin importar qué tan cerca estuviéramos del lector o con qué frecuencia lo intentáramos.
Cuando «bloqueado» significa «de alguna manera»
Pero, ¿qué pasa con los pagos NFC a través de su teléfono móvil?
A diferencia de su tarjeta de crédito, que generalmente guarda en su billetera y solo pesca cuando está en una terminal de pago, es casi seguro que su teléfono a menudo se muestre en público, a veces frente a usted, a veces simplemente sentado seductoramente al lado puerta en un escritorio, mesa o encimera.
Es mucho más probable que dejemos nuestros teléfonos en un autobús, tren, taxi, oficina, tienda, hotel o incluso en la playa de otra persona que perder nuestra tarjeta de crédito de la misma manera.
Es este «momento de peligro» el que nos lleva a instalar códigos de bloqueo en nuestros dispositivos móviles para que no puedan ser utilizados y abusados inmediatamente por alguien que accidentalmente los recoja y los encienda.
Aunque no configuramos un mecanismo de autenticación alternativo como el reconocimiento de huellas dactilares o facial cada vez que queremos ingresar un código de bloqueo completo en nuestros dispositivos durante todo el día para mantener alejados a los extraños.
La mayoría de nosotros también establece un tiempo de espera que bloqueará automáticamente nuestros dispositivos después de unos minutos, incluso si nos olvidamos de presionar el botón de bloqueo antes de dejar el dispositivo.
Desafortunadamente, aunque bastante obvio, todas las funciones del teléfono que habilita en la pantalla de bloqueo actúa directamente en contra de la seguridad que la pantalla de bloqueo está destinada principalmente a proporcionar.
Ya sea que esté viendo notificaciones y mensajes personales mientras su teléfono está bloqueado, o usando la función Apple Pay Express Transit para autorizar pagos con toque y listo mientras su teléfono está bloqueado …
… todo lo que autorice en la pantalla de bloqueo se burla del concepto de «bloquear» su teléfono.
La velocidad lo es todo
A pesar de los riesgos, entendemos la motivación detrás de Express Transit.
El transporte público es a menudo un entorno abarrotado y de alta presión donde la disponibilidad y la conveniencia de las terminales de tocar para pagar han hecho que sus compañeros de viaje sean aún menos pacientes, y donde usted busca a tientas su código de desbloqueo o su rostro no será reconocido la primera vez. en la multitud en la máquina expendedora o en la barrera de la plataforma …
… puede provocar retrasos, molestias, insultos, aglomeraciones, agresiones o algo peor de las multitudes que pululan a tu alrededor.
Entonces es el selectivo Tránsito expreso, también conocido como Viajes exprés, Opción en Apple Pay.
Como lo entendemos, este «desbloqueo automático» no abre completamente su cuenta, por lo que su teléfono no se convierte en un dispositivo que pueda usar para pagar instantáneamente por cualquier cosa, como la tarjeta de crédito en su billetera.
La función solo debería funcionar con el transporte público seleccionado, por lo que puede realizar pagos de tránsito rápido (por ejemplo, en el Reino Unido) en las terminales de Transport for London y a la compañía de autobuses First Group, pero nadie más.
En el ambiente relajado de su café favorito de Camden Town, aún necesita desbloquear su teléfono para realizar un pago, pero no lo hará durante las horas pico en la estación de metro Mornington Crescent.
¿Cuál es el problema?
Como se explicó anteriormente, la activación de Express Transit, en teoría, no hará un mal uso de su teléfono bloqueado, por ejemplo, cuando pasee por una tienda departamental, vaya al cine o pague el combustible en una estación de servicio.
En la práctica, sin embargo, los investigadores de este documento que aún no se ha publicado afirman que han logrado engañar a los iPhones para que realicen pagos fraudulentos en circunstancias cuidadosamente preparadas al configurar su propia terminal de pago y haciéndola pasar por una empresa de transporte público que forma parte del sistema de tránsito expreso El sistema de pago era.
Aparentemente, esto solo fue posible con cuentas de tarjeta Visa (presumiblemente otros proveedores de pago han decidido de manera más estricta si el terminal de pago X realmente pertenece a la empresa Y), pero no estaba limitado por el límite de pago habitual de la tarjeta de crédito NFC.
De hecho, los investigadores afirman que al usar una terminal de pago fraudulenta, podrían obtener transacciones aprobadas hasta £ 1000, muy por encima del límite de £ 45 actualmente en tarjetas de crédito regulares en el Reino Unido.
¿Qué tengo que hacer?
¿Deberías preocuparte?
No lo creemos, pero eso se debe a que en todos nuestros dispositivos móviles evitamos todas las funciones que funcionan en la pantalla de bloqueo.
Aceptamos la pequeña irritación de tener que ingresar nuestro (¡largo!) Código de bloqueo cada vez que queremos usar nuestro teléfono para hacer más que verificar la hora.
Hemos incorporado el proceso de desbloqueo, que solo toma unos segundos, en nuestro estilo de vida digital, incluso si ocasionalmente significa tener que alejarnos de una cola que se mueve rápidamente por unos momentos para que nuestro teléfono esté listo para usar en el punto de sujeción. .
En este caso, nuestras recomendaciones son las siguientes:
Evite Express Transit y todas las demás funciones «activas en la pantalla de bloqueo» si puede. Estas opciones sacrifican inevitablemente la ciberseguridad por conveniencia. Practique desbloqueando su teléfono para que pueda hacerlo con regularidad, y es posible que descubra que puede prescindir por completo de Express Transit.
Evite el uso de tarjetas Visa con Express Transit si está preocupado. Para ser justos con Visa, asumimos que con el esfuerzo suficiente, se podrían encontrar soluciones similares para dirigirse a otros proveedores de pago. Por lo tanto, la mera elusión de visas puede considerarse como «seguridad en la oscuridad». Pero estos investigadores parecen haber descubierto una manera de evitar las revisiones de visas para que usted también pueda luchar contra la parte del problema conocida anteriormente. Si está realmente preocupado y simplemente no puede vivir sin Express Transit, considere configurarlo con una tarjeta de débito prepaga y mantener un saldo modesto que solo gasta en transporte público.
No deje su teléfono desatendido cuando pueda evitarlo. Trate de tratar su teléfono un poco más como su tarjeta de crédito, que seguramente solo sacará cuando la necesite y la guarde cuando haya terminado. Si desea tener su teléfono a mano en todo momento, téngalo cerca (y preferiblemente en su mano).
Establezca el código de bloqueo más largo y el tiempo de espera de bloqueo automático más corto que pueda tolerar. Un teléfono bloqueado es un inconveniente menor para usted, pero una barrera importante contra los delincuentes, incluso los expertos en tecnología. Un teléfono desbloqueado, por otro lado, es un objetivo abierto para todos, incluidos los delincuentes oportunistas sin educación.
Revise sus extractos bancarios y de tarjetas de pago con regularidad. Si utiliza Express Transit para pagos de viajes diarios regulares y predecibles, debería poder detectar cargas anómalas con bastante facilidad, ya que es probable que no se ajusten a su patrón normal.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
![Apple Pay, tarjetas de regalo, Cybermonth y pausas de ransomware [Podcast] - Pura seguridad](https://cultura-digital.info/wp-content/uploads/cubrimos-podcast-150x150.png "Apple Pay, tarjetas de regalo, Cybermonth y pausas de ransomware [Podcast] - Pura seguridad")
